Llegamos a ustedes gracias a:



Noticias

Microsoft agrega herramientas de seguridad para desarrolladores

[18/01/2011] Microsoft está ampliando su lista de herramientas y servicios SDL (security development lifecycle) con el beta release de una herramienta de análisis de superficie de ataque, así como con la presentación de sus servicios de consultoría en desarrollo seguro.

El Attack Surface Analyzer de Microsoft es una herramienta de verificación SDL para desarrolladores y profesionales TI que sirve para identificar si alguna aplicación recientemente desarrollada o instalada cambia inadvertidamente la superficie de ataque de un sistema operativo Microsoft. La herramienta gratuita se puede descargar del sitio web de Microsoft y es la misma herramienta que usan los equipos internos de desarrollo de productos de Microsoft.
Por años, Microsoft ha requerido la validación de superficie de ataque de las aplicaciones antes de su presentación. Sin embargo, determinar la superficie de ataque de una aplicación o plataforma de software puede ser un proceso intimidante a primera vista, señaló David Ladd, gerente principal de seguridad de Microsoft, en una entrada de blog. Para facilitar el proceso, estamos presentando una herramienta llamada Attack Surface Analyzer que ayuda tanto a los evaluadores como a los profesionales TI en la evaluación de la seguridad de una aplicación. El Attack Surface Analyzer está siendo presentado como beta para que podamos reunir información y datos de uso reales de nuestros clientes.
Microsoft también está actualizando sus herramientas Threat Modeling y BinScope Binary Analyzer para incrementar el uso por parte de los desarrolladores. Estas herramientas también son gratuitas y accesibles desde el sitio web de seguridad de Microsoft. La herramienta Threat Modelling ofrece una guía sobre la construcción y el análisis de los modelos de amenazas, mientras que el Binary Analizar revisa los binarios para asegurarse de que fueron construidos en base a los requerimientos y recomendaciones SDL.
En concordancia con el release anterior de la herramienta, la versión 3.1.6 [de Threat Modeling] permite un análisis temprano y estructurado y la mitigación proactiva de los posibles problemas de seguridad y privacidad en las aplicaciones nuevas y en las ya existentes, sostuvo Ladd en un blog. El beta de la Microsoft SDL Threat Modeling Tool se ha mejorado para soportar Microsoft Visio 2010 y también contiene reparaciones de bugs reportado a Microsoft por parte de los miembros de la comunidad de desarrolladores de seguridad. La versión 3.1.6 se encuentra actualmente en etapa de beta release.
BinScope Binary Analyzer soporta ahora Visual Studio 2010, con lo cual las tareas de validación ya se encuentran disponibles en el ambiente de desarrollo. Además, se integra con Microsoft Team Foundation Server 2008 y Microsoft Team Foundation Server 2010, sostuvo Ladd.
Desde el 11 de febrero se ofrece una opción de servicios de consultoría Microsoft en SDL. La meta es mejorar la seguridad del software y reducir tanto el riesgo del cliente como los costos de desarrollo. Los servicios son ofrecidos por el grupo Microsoft Services.
Igualmente, Microsoft está presentando un reporte que comisionó a Forrester Consulting, llamado El estado de la seguridad de las aplicaciones, en el que se estudia el estado actual de las prácticas desarrollo de aplicaciones. Hay muchos hallazgos interesantes en el reporte que ayudan a validar la noción de que afrontar tempranamente el tema de la seguridad tiene sentido empresarial, sostuvo Ladd.
Microsoft realizó sus presentaciones de seguridad en conjunto con la conferencia Black Hat DC esta semana en Arlington, Virginia.
Paul Krill, InfoWorld (US)